Configurare la protezione LSA aggiunta

Questo articolo illustra come configurare una protezione aggiuntiva per il processo LSA (Local Security Authority) per impedire l'inserimento di codice che potrebbe compromettere le credenziali.

LSA, che include il processo del servizio server dell'autorità di sicurezza locale (LSASS), convalida gli utenti per gli accessi locali e remoti e impone i criteri di sicurezza locali. A partire da Windows 8.1 e versioni successive, viene fornita una protezione aggiuntiva per LSA per impedire la lettura della memoria e l'inserimento di codice da parte di processi non protetti. In questo modo le credenziali archiviate e gestite in LSA sono più sicure. Un'ulteriore protezione si ottiene quando si usa il blocco UEFI e l'avvio protetto, perché la disabilitazione della chiave del registro di sistema HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa non ha alcun effetto.

Requisiti del processo protetto per plug-in o driver

Affinché un plug-in o un driver LSA venga caricato correttamente come processo protetto, deve soddisfare i criteri seguenti:

Verifica della firma

La modalità protetta richiede che ogni plug-in che viene caricato in LSA sia firmato digitalmente con una firma Microsoft. Tutti i plug-in che non sono firmati oppure firmati con firma non Microsoft non verranno caricati in LSA. Esempi di plug-in sono i driver delle smart card, i plug-in crittografici e i filtri password.

• I plug-in che sono driver, come i driver delle smart card, devono essere firmati mediante la certificazione WHQL. Per ulteriori informazioni, vedere Firma della versione WHQL.
• I plug-in LSA che non dispongono di un processo di certificazione WHQL devono essere firmati utilizzando il servizio di firma dei file per LSA.

Rispetto delle linee guida del processo Microsoft Security Development Lifecycle (SDL)

• Tutti i plug-in devono rispettare le linee guida del processo SDL applicabili. Per maggiori informazioni, consultare la guida Ciclo di vita dello sviluppo della sicurezza Microsoft (SDL).
• Anche se i plug-in sono firmati correttamente con una firma Microsoft, il mancato rispetto del processo SDL può provocare errori di caricamento dei plug-in.

Procedure consigliate

Usare l'elenco seguente per verificare che la protezione LSA sia abilitata prima di distribuire ampiamente la funzionalità:

• Individuare tutti i plug-in e i driver LSA utilizzati dall'organizzazione. Includere i driver e i plug-in non Microsoft come i driver delle smart card e plug-in crittografici, nonché eventuale software sviluppato internamente che viene utilizzato per imporre i filtri password o le notifiche di modifica della password.
• Verificare che tutti i plug-in LSA siano firmati digitalmente con un certificato Microsoft per impedire che si verifichino errori di caricamento in protezione LSA.
• Assicurarsi che tutti i plug-in firmati correttamente vengano caricati in LSA e che funzionino come previsto.
• Utilizzare i log di controllo per identificare i plug-in e i driver LSA che non vengono eseguiti come processi protetti.

Limiti dell'abilitazione della protezione LSA

Se è abilitata la protezione LSA aggiunta, non è possibile eseguire il debug di un plug-in LSA personalizzato. Non è possibile collegare un debugger a LSASS quando si tratta di un processo protetto. In generale, non è possibile eseguire il debug di un processo protetto in esecuzione.

Controllare i plug-in e i driver LSA che non verranno caricati come processo protetto

Prima di abilitare la protezione LSA, utilizzare la modalità di controllo per identificare i plug-in e i driver LSA il cui caricamento non potrà essere eseguito in modalità di protezione LSA. In modalità di controllo, il sistema genererà registri eventi che individueranno tutti i plug-in e i driver il cui caricamento non verrà eseguito in presenza di LSA se è abilitata la protezione LSA. I messaggi vengono registrati senza bloccare in realtà i plug-in e i driver.

Gli eventi descritti in questa sezione sono disponibili nel Visualizzatore di eventi nelRegistro operativo in Registri applicazioni e servizi>Microsoft>Windows>CodeIntegrity. Questi eventi consentono di identificare i plug-in e i driver LSA che non vengono caricati per problemi di firma. Per gestire questi eventi, è possibile utilizzare lo strumento da riga di comando wevtutil. Per informazioni su questo strumento, vedere Wevtutil.

Importante

Gli eventi di controllo non vengono generati se Smart App Control è abilitato su un dispositivo. Per controllare o modificare lo stato di abilitazione di Smart App Control, aprire l'applicazione Sicurezza di Windows e andare alla pagina Controllo browser & app. Selezionare Impostazioni Smart App Control per controllare lo stato di abilitazione e modificare la configurazione su Disattivato se si sta tentando di controllare la protezione LSA aggiunta.

Nota

La modalità di controllo per la protezione LSA aggiunta è abilitata per impostazione predefinita nei dispositivi che eseguono Windows 11 versione 22H2 e successive. Se il dispositivo esegue questa build o versione successiva, non sono necessarie altre azioni per controllare la protezione LSA aggiunta.

Abilitare la modalità di controllo per LSASS.exe in un singolo computer

1. Aprire l'Editor del Registro di sistema (RegEdit.exe) e passare alla chiave che si trova in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
2. Impostare il valore di questa chiave del Registro di sistema su AuditLevel=dword:00000008.
3. Riavviare il computer.

Dopo aver eseguito questi passaggi, analizzare i risultati dell'evento 3065 e dell'evento 3066. In Visualizzatore eventi, verificare la presenza di questi eventi nel Registro operativo in Registri applicazioni e servizi>Microsoft>Windows>CodeIntegrity.

• L'evento 3065 registra che un controllo di integrità del codice ha determinato che un processo, in genere LSASS.exe, ha tentato di caricare un driver che non soddisfaceva i requisiti di sicurezza per le sezioni condivise. A causa degli attuali criteri di sistema impostati, è stato comunque consentito il caricamento dell'immagine.
• L'evento 3066 registra che un controllo di integrità del codice ha determinato che un processo, in genere LSASS.exe, ha tentato di caricare un driver che non soddisfaceva i requisiti del livello di firma di Microsoft. A causa degli attuali criteri di sistema impostati, è stato comunque consentito il caricamento dell'immagine.

Se un plug-in o un driver include sezioni condivise, l'evento 3066 viene registrato con l'evento 3065. Se si rimuovono le sezioni condivise, questi eventi non si verificano, a meno che il plug-in non soddisfi i requisiti del livello di firma di Microsoft.

Importante

Questi eventi operativi non vengono generati quando in un sistema è collegato e abilitato un debugger del kernel.

Abilitare la modalità di controllo per LSASS.exe in più computer

Per abilitare la modalità di controllo per più computer in un dominio, è possibile utilizzare le estensioni del Registro di sistema lato client per Criteri di gruppo per distribuire il valore del Registro di sistema a livello di controllo di LSASS.exe. È necessario modificare la chiave del registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

1. Aprire la Console Gestione Criteri di gruppo (GPMC) immettendo gpmc.msc nella finestra di dialogo Esegui o selezionando Console Gestione Criteri di gruppo dal menu Start.
2. Creare un nuovo oggetto Criteri di gruppo (GPO) collegato a livello di dominio oppure all'unità organizzativa che contiene gli account computer. In alternativa, selezionare un GPO già distribuito.
3. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo e quindi scegliere Modifica per aprire Editor Gestione Criteri di gruppo.
4. Espandere Configurazione computer>Preferenze>Impostazioni Windows.
5. Fare clic con il pulsante destro del mouse su Registro di sistema, scegliere Nuovo e quindi fare clic su Elemento Registro di sistema. Sarà visualizzata la finestra di dialogo Nuove proprietà Registro di sistema.
6. Nell'elenco Hive selezionare HKEY_LOCAL_MACHINE.
7. Nell'elenco Percorso chiave passare a SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.
8. Nella casella Nome valore digitare AuditLevel.
9. Nella casella Tipo valore fare clic su REG_DWORD.
10. Nella casella Dati valore digitare 00000008.
11. Seleziona OK.

Nota

Affinché il GPO abbia effetto, la modifica del GPO deve essere replicata in tutti i controller di dominio del dominio.

Per il consenso esplicito della protezione LSA aggiunta in più computer, è possibile utilizzare l'estensione del registro lato client per Criteri di gruppo modificando HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Per istruzioni, consultare la sezione Configurare la protezione LSA aggiunta delle credenziali più avanti in questo articolo.

Individuare i plug-in e i driver che LSASS.exe non carica

Quando è abilitata la protezione LSA, il sistema genera registri eventi che identificano tutti i plug-in e i driver il cui caricamento non è riuscito in presenza di LSA. Dopo aver acconsentito esplicitamente alla protezione LSA aggiunta, è possibile utilizzare il registro eventi per identificare i plug-in e i driver LSA che non sono stati caricati in modalità di protezione LSA.

Verificare la presenza dei seguenti eventi in Visualizzatore eventi Registri di applicazioni e servizi>Microsoft>Windows>CodeIntegrity>Operational:

• L'evento 3033 registra che un controllo di integrità del codice ha determinato che un processo, in genere LSASS.exe, ha tentato di caricare un driver che non soddisfaceva i requisiti del livello di firma di Microsoft.
• L'evento 3063 registra che un controllo di integrità del codice ha determinato che un processo, in genere LSASS.exe, ha tentato di caricare un driver che non soddisfaceva i requisiti di sicurezza per le sezioni condivise.

Le sezioni condivise sono in genere il risultato di tecniche di programmazione che consentono ai dati dell'istanza di interagire con altri processi che utilizzano lo stesso contesto di sicurezza, il che può comportare vulnerabilità di sicurezza.

Abilitare e configurare la protezione LSA aggiunta delle credenziali

È possibile configurare la protezione LSA aggiunta per i dispositivi che eseguono Windows 8.1 o versione successiva o Windows Server 2012 R2 o versione successiva usando le procedure descritte in questa sezione.

Dispositivi che usano l'avvio protetto e UEFI

Quando si abilita la protezione LSA nei dispositivi basati su x86 o x64 che usano l'avvio protetto o UEFI, è possibile archiviare una variabile UEFI nel firmware UEFI usando una chiave o un criterio del Registro di sistema. Se abilitato con il blocco UEFI, LSASS viene eseguito come processo protetto e questa impostazione viene archiviata in una variabile UEFI nel firmware.

Quando l'impostazione è archiviata nel firmware, la variabile UEFI non può essere eliminata o modificata per configurare la protezione LSA aggiunta modificando il Registro di sistema o in base ai criteri. La variabile UEFI deve essere reimpostata consultando le istruzioni riportate nella sezione Rimuovere la variabile UEFI di protezione LSA.

Se abilitato senza un blocco UEFI, LSASS viene eseguito come processo protetto e questa impostazione non viene archiviata in una variabile UEFI. Questa impostazione viene applicata per impostazione predefinita nei dispositivi con una nuova installazione di Windows 11 versione 22H2 o successiva.

Nei dispositivi basati su x86 o x64 che non supportano UEFI o in cui l'avvio protetto è disabilitato, non è possibile archiviare la configurazione per la protezione LSA nel firmware. Questi dispositivi si basano esclusivamente sulla presenza della chiave del Registro di sistema. In questo scenario è possibile disabilitare la protezione LSA utilizzando l'accesso remoto al dispositivo. La disabilitazione della protezione LSA non ha effetto fino al riavvio del dispositivo.

Abilitazione automatica

Per i dispositivi client che eseguono Windows 11 versione 22H2 e successive, la protezione LSA aggiunta è abilitata per impostazione predefinita se vengono soddisfatti i criteri seguenti:

• Il dispositivo è una nuova installazione di Windows 11 versione 22H2 o successiva, non aggiornata da una versione precedente.
• Il dispositivo è aggiunto a un'organizzazione (aggiunto a un dominio di Active Directory, aggiunto a un dominio di Microsoft Entra o aggiunto a un dominio di Microsoft Entra ibrido).
• Il dispositivo è in grado di garantire l'integrità del codice protetta da hypervisor (HVCI).

L'abilitazione automatica della protezione LSA aggiunta in Windows 11 versione 22H2 e successive non imposta una variabile UEFI per la funzionalità. Se si vuole impostare una variabile UEFI, è possibile usare una configurazione o un criterio del Registro di sistema.

Nota

Per i dispositivi che eseguono Windows RT 8.1, la protezione LSA aggiunta è sempre abilitata e non può essere disattivata.

Abilitare la protezione LSA in un singolo computer

È possibile abilitare la protezione LSA in un singolo computer usando il registro o i Criteri di gruppo locali.

Abilitare tramite il registro

1. Aprire l'Editor del Registro di sistema (RegEdit.exe) e passare alla chiave che si trova in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
2. Impostare il valore della chiave del registro su:
   • "RunAsPPL"=dword:00000001 per configurare la funzionalità con una variabile UEFI.
   • "RunAsPPL"=dword:00000002 per configurare la funzionalità senza una variabile UEFI, applicata solo su Windows 11 build 22H2 e successive.
3. Riavviare il computer.

Abilitare tramite Criteri di gruppo locali in Windows 11 versione 22H2 e successive

1. Aprire l'Editor Criteri di gruppo locali immettendo gpedit.msc.
2. Espandere Configurazione computer>Modelli amministrativi>Autorità di >sicurezza locale di sistema.
3. Aprire il criterio Configurare LSASS per l'esecuzione come processo protetto.
4. Impostare il criterio su Abilitato.
5. In Opzioni, selezionare una delle opzioni seguenti.
   • Abilitato con Blocco UEFI per configurare la funzionalità con una variabile UEFI.
   • Abilitato senza Blocco UEFI per configurare la funzionalità senza una variabile UEFI.
6. Seleziona OK.
7. Riavviare il computer.

Abilitare la protezione LSA mediante Criteri di gruppo

1. Aprire la GPMC immettendo gpmc.msc nella finestra di dialogo Esegui o selezionando Console Gestione Criteri di gruppo dal menu Start.
2. Creare un nuovo oggetto Criteri di gruppo collegato a livello di dominio oppure all'unità organizzativa che contiene gli account computer. In alternativa, selezionare un GPO già distribuito.
3. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo e quindi scegliere Modifica per aprire Editor Gestione Criteri di gruppo.
4. Espandere Configurazione computer>Preferenze>Impostazioni Windows.
5. Fare clic con il pulsante destro del mouse su Registro di sistema, scegliere Nuovo e quindi fare clic su Elemento Registro di sistema. Sarà visualizzata la finestra di dialogo Nuove proprietà Registro di sistema.
6. Nell'elenco Hive selezionare HKEY_LOCAL_MACHINE.
7. Nell'elenco Percorso chiave passare a SYSTEM\CurrentControlSet\Control\Lsa.
8. Nella casella Nome valore digitare RunAsPPL.
9. Nella casella Tipo valore fare clic su REG_DWORD.
10. Nella casella di testo Dati valore, digitare:
    • 00000001 per abilitare la protezione LSA con una variabile UEFI.
    • 00000002 per abilitare la protezione LSA senza una variabile UEFI, applicata solo su Windows 11 versione 22H2 e successive.
11. Seleziona OK.

Abilitare la protezione LSA creando un profilo di configurazione del dispositivo personalizzato

Per i dispositivi che eseguono Windows 11 versione 22H2 e successive, è possibile abilitare e configurare la protezione LSA creando un profilo di configurazione del dispositivo personalizzato nell'Interfaccia di amministrazione di Microsoft Intune.

1. Nell'interfaccia di amministrazione di Intune, passare a Dispositivi>Profili di >configurazione Windows e selezionare Crea profilo.
2. Nella schermata Crea profilo, selezionare le opzioni seguenti:
   • Piattaforma: Windows 10 e versioni successive
   • Tipo di profilo: selezionare Modelli, quindi selezionare Personalizza.
3. Seleziona Crea.
4. Nella schermata Informazioni di base, immettere un Nome e una Descrizione opzionale per il profilo, quindi selezionare Avanti.
5. Nella schermata Impostazioni di configurazione, selezionare Aggiungi.
6. Nella schermata Aggiungi riga, fornire le informazioni seguenti:
   • Nome: specificare un nome per l'impostazione OMA-URI.
   • OMA-URI: immettere ./Device/Vendor/MSFT/Policy/Config/LocalSecurityAuthority/ConfigureLsaProtectedProcess.
   • Tipo di dati: selezionare Integer.
   • Valore: immettere 1 per configurare LSASS per l'esecuzione come processo protetto con blocco UEFI o 2 per configurare LSASS per l'esecuzione come processo protetto senza blocco UEFI.
7. Seleziona Salva e quindi selezionare Avanti.
8. Nella pagina Assegnazioni, configurare le assegnazioni, quindi selezionare Avanti.
9. Nella pagina Regole di applicabilità, configurare le regole di applicabilità, quindi selezionare Avanti.
10. Nella pagina Rivedi + crea, verificare la configurazione, quindi selezionare Crea.
11. Riavviare il computer.

Per maggiori informazioni su questo provider di servizi di configurazione dei criteri, consultare LocalSecurityAuthority - ConfigureLsaProtectedProcess.

Disabilitare protezione LSA

È possibile disabilitare la protezione LSA tramite il registro o Criteri di gruppo locali. Se il dispositivo usa l'avvio protetto e si imposta la variabile UEFI di protezione LSA nel firmware, è possibile usare uno strumento per rimuovere la variabile UEFI.

Disabilitare tramite il registro

1. Aprire l'Editor del registro (RegEdit.exe) e passare alla chiave di registro che si trova in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
2. Impostare il valore della chiave del registro su "RunAsPPL"=dword:00000000 oppure eliminare DWORD.
3. Se è stato abilitato PPL con una variabile UEFI, usare lo strumento per il rifiuto esplicito del processo protetto LSA per eliminare la variabile UEFI.
4. Riavviare il computer.

Disabilitare tramite Criteri di gruppo locali in Windows 11 versione 22H2 e successive

1. Aprire l'Editor Criteri di gruppo locali immettendo gpedit.msc.
2. Espandere Configurazione computer>Modelli amministrativi>Autorità di >sicurezza locale di sistema.
3. Aprire il criterio Configurare LSASS per l'esecuzione come processo protetto.
4. Impostare il criterio su Abilitato.
5. In Opzioni, selezionare Disabilitato.
6. Seleziona OK.
7. Riavviare il computer.

Nota

Se si imposta questo criterio su Non configurato e il criterio è stato abilitato in precedenza, l'impostazione precedente non viene pulita e continua a essere applicata. È necessario impostare il criterio su Disabilitato nell'elenco a discesa Opzioni per disabilitare la funzionalità.

Rimuovere la variabile UEFI di protezione LSA

È possibile usare lo strumento Local Security Authority (LSA) Protected Process Opt-out tool (LSAPPLConfig) dall'area download Microsoft per eliminare la variabile UEFI se il dispositivo utilizza l'avvio protetto.

Nota

L'area download presenta due file denominati LsaPplConfig.efi. Il file più piccolo è per i sistemi basati su x86 e il file più grande è per i sistemi basati su x64.

Per ulteriori informazioni sulla gestione dell'avvio protetto, vedere Firmware UEFI.

Attenzione

Se l'avvio protetto è disattivato, tutte le configurazioni correlate all'avvio protetto e a UEFI vengono reimpostate. È consigliabile disattivare l'avvio protetto solo quando non è possibile disabilitare la protezione LSA utilizzando le altre modalità.

Verificare la protezione LSA

Per determinare se LSA è stato avviato in modalità protetta all'avvio di Windows, verificare Sistema registri >di Windows in Visualizzatore eventi per il seguente evento WinInit:

• 12: LSASS.exe è stato eseguito come processo protetto con il livello: 4

LSA e Credential Guard

La protezione LSA è una funzionalità di sicurezza che protegge informazioni sensibili come il furto bloccando l'inserimento di codice LSA non attendibile e il dump della memoria di processo. La protezione LSA viene eseguita in background isolando il processo LSA in un contenitore e impedendo ad altri processi, ad esempio utenti malintenzionati o app, di accedere alla funzionalità. Questo isolamento rende protezione LSA una funzionalità di sicurezza essenziale, motivo per cui è abilitata per impostazione predefinita in Windows 11.

A partire da Windows 10, Credential Guard aiuta anche a prevenire gli attacchi di furto di credenziali proteggendo gli hash delle password NTLM, i ticket di concessione ticket Kerberos (TGT) e le credenziali archiviate dalle applicazioni come credenziali di dominio. Kerberos, NTLM e Gestione credenziali isolano i segreti usando la sicurezza basata sulla virtualizzazione (VBS).

Con Credential Guard abilitato, il processo LSA comunica con un componente denominato processo LSA isolato, o LSAIso.exe, che archivia e protegge i segreti. I dati archiviati dal processo LSA isolato sono protetti tramite VBS e non sono accessibili al resto del sistema operativo. LSA usa chiamate di procedura remota per comunicare con il processo LSA isolato.

A partire da Windows 11 versione 22H2, vbs e Credential Guard sono abilitati per impostazione predefinita in tutti i dispositivi che soddisfano i requisiti di sistema. Credential Guard è supportato solo nei dispositivi di avvio protetto a 64 bit. La protezione LSA e Credential Guard sono complementari e i sistemi che supportano Credential Guard o che lo hanno abilitato per impostazione predefinita possono anche abilitare e trarre vantaggio dalla protezione LSA. Per maggiori informazioni su Credential Guard, consultare la sezione Panoramica su Credential Guard.

Altre risorse

• Protezione e gestione delle credenziali
• Partner Center per hardware Windows